AUser0, я же вам выше пример приложил того, что может быть на клиенте. Представим, у нас генерация на клиенте идет и какой-то пользователь решил сделать себе токен «123» а не 16-ти битный. Другой пользователь что сделает? Возьмет откроет localstorage и просто укажет «123», ради интереса и тут у него оказывается доступ к другому аккаунту.
В случае генерации на стороне сервера, пользователь не сможет указать собственный токен.
Если генерировать на стороне клиента, его нужно подписывать. А-ля, использовать сквозное шифрование.
То, что я ему сгенерирую 64 битный токен на клиенте и отдам его серверу, ему ничего не помешает этот формат поменять. Это клиент
AUser0, разница есть. На клиенте если я буду генерировать токен и отдавать серверу, то смогу его подделать, а если я буду генерировать его на сервере и отдавать клиенту, подделать его уже невозможно :)
AUser0, у меня только вариант, что генерировать айди нужно на сервере с подписью и передавать клиенту и таким образом даже подделать его будет фактически сложно.
Хотя стоп! Если мы генерируем айди на сервере, то подписывать его не нужно получатся. Просто сверяем айди если он даже подделан и меняем в случае чего
setupx, у меня вот один вариант есть как это примерно можно реализовать. После покупки услуги выдает ключ и этот ключ пользователь активирует и сам ключ храним уже. Но все равно, а вдруг у нас просто данные хранятся без каких-либо покупок
Aetae, но в localstorage я ничего не нашел. не в телеграмме и не в блуме, но то что он его достает из localstorage - факт. Надо как-то его достать мне :д
В случае генерации на стороне сервера, пользователь не сможет указать собственный токен.
Если генерировать на стороне клиента, его нужно подписывать. А-ля, использовать сквозное шифрование.
То, что я ему сгенерирую 64 битный токен на клиенте и отдам его серверу, ему ничего не помешает этот формат поменять. Это клиент